ArguePatch Malware som används vid cyberattacker mot Ukraina

Säkerhetsforskare har sett mer aktivitet från Sandworms avancerade ihållande hotaktör. Sandworm använder nu en uppdaterad version av ArguePatch malware loader för att attackera fler mål i Ukraina.

ArguePatch användes i en serie attacker mot ukrainska enheter redan när den ryska invasionen av grannlandet började. Tillsammans med den första militära aktionen på ukrainsk mark, genomförde rysklänkade hotaktörer en rad attacker med destruktiv torkarprogramvara, riktad mot ukrainska institutioner och med hjälp av verktyg som heter CaddyWiper, HermeticWiper och IsaacWiper. Dessa attacker använde en tidigare version av ArguePatch malware loader.

Namnet ArguePatch tilldelades av Ukrainas CERT. Den uppdaterade versionen av laddaren har funktionalitet som gör att operatörer kan köra ett senare skede av attacken vid en specifik tidpunkt. Detta tillägg gör att attackkedjan körs utan att behöva konfigurera en schemalagd uppgift med interna Windows-verktyg och hjälper till att undvika upptäckt.

Den uppdaterade ArguePatch distribueras genom att missbruka en legitim körbar ESET som har fått sin digitala signatur borttagen och delar av koden inuti den har ändrats.